Datenleck bei SchülerVZ war größer als bekannt

Kurzfassung: Auch privat gestellte Daten waren bei SchülerVZ massenweise auslesbar. Wir haben 118.000 Datensätze von Berliner Schülern mit ihrem Geburtsdatum (Was teilweise nur für Freunde freigegeben war) zur Klärung an den Bundesverband Verbraucherzentrale übergeben, die mittlerweile auch beim Berliner Landesdatenschutzbeauftragten angekommen sind.

Die Vorgeschichte:

Lange Fassung: Vor zehn Tagen hatten wir erstmals über ein Datenleck bei SchülerVZ berichtet. Uns wurden 1,6 Millionen Datensätze von SchülerVZ-Nutzern zugeschickt. Einen Tag später war klar, dass mindestens eine weitere Person die Sicherheitslücken bei SchülerVZ ausgenutzt hatte, um massenweise Datensätze auszulesen. Diese zweite Person wurde verhaftet, nachdem sie SchülerVZ zu erpressen versuchte. In einer Mail vor seiner Reise nach Berlin erklärte uns der dann verhaftete, dass er auch erfolgreiche Phishing-Attacken durchgeführt hatte. Das deckt sich mit Hinweisen auf XSS-Lücken, auf die wir auch hingewiesen haben.

Am vergangenen Mittwoch brachten wir ein Interview mit einer dritten Person, die beschrieb, wie man noch mehr Daten aus SchülerVZ auslesen konnte. Dazu zählen auch Daten, die explizit nur für Freunde frei geschaltet waren. SchülerVZ dementierte sofort, dass dies möglich gewesen sei. In einer FAQ im StudiVZ-Blog wird immer noch darauf hingewiesen, dass dies nicht möglich gewesen sein kann.

Es wird behauptet, dass auch private Daten ausgelesen werden konnten?

Nach derzeitigem Kenntnisstand sind keine privaten Daten betroffen. Auch nicht indirekt über die Suche.

Ich habe mein Profil nur für meine Freunde sichtbar – Sind meine Daten trotzdem betroffen?

Nein, deine privatgestellten Daten sind nicht betroffen. Der Täter konnte nur Daten (Name, Profilfoto und Schule) kopieren, die für alle Nutzer im schülerVZ sichtbar waren. Alle Schutzmaßnahmen zur Privatsphäre haben gegriffen und wurden explizit NICHT geknackt.

Das ist nach unseren Informationen nicht so, bzw. ist die zweite Antwort auf den einen Fall hin formuliert. Wir haben SchülerVZ darauf hingewiesen, dass wir das nicht so sehen und das die erste Antwort so nicht richtig ist . Sonst hätten wir das Interview in dieser Form auch nicht veröffentlicht.

Wir haben gestern Abend eine Datei mit 118.000 Datensätzen von Berliner Schülern an die Verbraucherzentrale Bundesverband geschickt, um die Sicherheitslücke zu beweisen und die Frage zu klären. Diese dürften mittlerweile auch beim Berliner Landesdatenschutzbeauftragten gelandet sein. Wir haben einige der Datensätze vorab verifizieren können, indem wir auf privat geschaltete Nutzer gefunden und kontaktiert haben, ob das Geburtsdatum stimmt. Diese Datensätze enthalten die individuelle SchülerVZ-ID-Nummer, das Geburtsdatum und das Geschlecht. Unsere nun mehr dritte Quelle hatte kein Interesse daran, die umstrittene Berliner Schüler-ID-Kartei mit noch mehr Datenfelder zu schaffen. Ihr ging es nur darum, die Sicherheitslücke zu dokumentieren. Daher die Konzentration auf Geburtsdatum und ID. Es war aber problemlos möglich, dazu noch von allen Schülern Schule, Wohnort, Beziehungsstatus, Foto und weitere Informationen zu ermitteln. Die ersten beiden Fälle zeigen das Potential.

Möglich war das Identifizieren des Geburtsdatums über die Suchfunktion. Man musste nur ein Programm schreiben, was massenhaft Suchanfragen erzeugt und dann die Ergebnisse einer Nutzer-ID zuordnet und zusammenrechnet.

Die Logik hinter dem Auslesen des Geburtsdatums:

So konnte / kann man vorgehen: Die Super-Suche innerhalb der VZ-Plattform bietet verschiedene Suchparameter (Alter, Beziehungsstatus, pol. Einstellung,…). Diese werden, sobald man eine Suche gestartet hat, in eine URL übersetzt, welche alle Sucheinstellungen enthält.

Beispiele für URL-Fragmente aus der Super-Suche:

– schoolSince/2005
– status/1
– gender/1
– relationship/2
– political/5
– schoolCountryId/1
– conc/1
– lookingFor/1
– bdayDay/12

Die Begriffe stehen für das entsprechende Suchkriterium.

Wobei die Zahlen hinter den Begriffen für den entsprechenden Wert stehen, „gender/1“ steht z.B. für weiblich und „gender/2“ für männlich.
Dieser Umstand machte es besonders leicht über Zählschleifen unzählige Suchanfragen an den SchülerVZ-Server zu schicken.

Beispiel für Geburtsdatumsabfrage (vereinfachte Darstellung aus dem Sourcecode):

for ($gday = 1 $gday

Die entstehenden $search-Strings werden danach an ein HTTP-Modul übergeben, welches den Inhalt der Suchergebnisse ausliest. Anschließend müssen nur noch alle gefundenen Profile als Datensatz in die Datenbank eingetragen werden, oder falls das Profil schon existiert, das Geburtsdatum aktualisiert werden. Die Sicherheitslücke bei SchülerVZ machte es möglich, auch versteckte Profilangaben nach und nach über Variation der Suchparameter auszulesen.

Überprüfung der Datensätze:

Wir hatten nun die Informationen, wie die Daten massenhaft ausgelesen konnten und einen Datensatz von 118.000 Nutzern mit den Feldern ID, Geburtsdatum und Geschlecht. Damit kam die Frage der Verifizierung der Daten. SchülerVZ hatte nach Bekanntgabe des Datenlecks angekündigt, Die Nutzer-IDs zu verändern, damit die im Umlauf befindlichen Datensätze unbrauchbar werden. Allerdings haben wir herausgefunden, dass dies nicht bei allen Nutzern geschah. Wir haben also nach dem Zufallsprinzip Nutzer-IDs aufgerufen und nach denjenigen gesucht, die ihr Geburtsdatum nicht öffentlich gemacht haben. Davon haben wir eine Reihe angeschrieben und gefragt, ob das Geburtsdatum in unserem Datensatz stimmt. Einige haben geantwortet und dies bestätigt. Somit konnten wir davon ausgehen, dass die Daten valide sind.

Dieser nunmehr dritte Datensatz zeigt:

    Die Beteuerungen von SchülerVZ, dass nur innerhalb des Systems öffentlich zugängliche Daten massenhaft ausgelesen worden, entspricht wohl nicht ganz der Realität. Wie sonst konnte unsere dritte Quelle in den letzten Monaten von 118.000 Berliner Schülern das Geburtsdatum ermitteln, das teilweise nur Freunden frei gegeben war?!
    Wie viele weitere erfolgreiche Datenausspäh-Aktionen gab es eigentlich in den letzten Monaten bei SchülerVZ, wenn uns mittlerweile drei Datensätze von unterschiedlichen Quellen bekannt geworden sind?
    Wir haben bisher nur Fälle von SchülerVZ dokumentiert. Es ist davon auszugehen, dass die beiden Schwester-Plattformen MeinVZ und StudiVZ ebenfalls betroffen waren, die auf dieselbe Technik aufsetzen. Da sind weitere Veröffentlichungen vorprogrammiert! (Wir freuen uns über sachdienliche Hinweise)
    Daten im Netz sind in der Regel nicht sicher. Auch nur für Freunde in Social-Networks frei gegebene Informationen bieten nur eine symbolisch gefühlte Sicherheit. Darauf sollte man sich nicht verlassen.
    Es muss darüber nachgedacht werden, das Haftungsrisiko für Plattform-Betreiber zu erhöhen, damit diese mehr Anreiz bekommen, in IT-Sicherheit und damit dem Datenschutz für ihre Nutzer zu investieren.

In einer Pressemitteilung kommentiert der Bundesverband Verbraucherzentrale den Fall und fordert Konsequenzen:

Der vzbv fordert die Anbieter Sozialer Netzwerke auf, mehr für den Schutz der Daten ihrer Kunden zu tun. „Statt zu versprechen, dass ihre Daten gut aufgehoben sind, müssen die Anbieter die technisch höchste Sicherheit bieten – wenn nötig auch zu Lasten des Nutzerkomforts“, appelliert Vorstand Gerd Billen. Zudem sollten die Betreiber die potentiellen Risiken klar benennen, die mit einer Veröffentlichung privater Daten im Netz verbunden sind. Nur so könnten die Nutzer – im Falle von SchülerVZ Schülern und deren Eltern – abwägen, wie freizügig sie ihre persönlichen Daten kommunizieren.

SchülerVZ hat mittlerweile aufgrund unserer Berichterstattung notwendige Schritte unternommen, das massenhafte Auslesen von vielen Datensätzen zu erschweren. Das freut uns und dieses Engagement ist sicherlich noch steigerungsfähig.

Update:

SchülerVZ hat nach eigenen Angaben die Lücke Ende Juli geschlossen. Das ist erfreulich für die Nutzersicherheit. Unsere Liste wurde einen Monat vorher erstellt. Das ändert aber nichts an der Geschichte, dass bis dahin auch privat gestellte Daten massenhaft aus der Plattform gesaugt werden konnten.

Update: Auch wenn das seit 2006 bekannte Supersuche-Problem vor zwei Monaten endlich gelöst wurde, kann es immer noch sein, dass das Geburtsdatum bei der Problem-Lösung vergessen wurde. Dafür gibt es Anhaltszeichen.

Update von 13:12 Uhr: Nun gibt es ein offizielles Statement von SchülerVZ. Darin bestätigen sie den Fall, erklären, dass sie die Lücke Ende Juli geschlossen haben und kündigen weitere Massnahmen zur Datensicherheit an.

Darüber hinaus haben wir bei einer internen Prüfung festgestellt, dass die Einstellmöglichkeiten bzgl. der Suchbarkeit nach Geburtsdaten missverstanden werden können. Diese missverständlichen Einstellmöglichkeiten werden wir im Laufe des Tages beheben. Zusätzlich werden wir auch die Suche nach Geburtsdatum und Alter komplett deaktivieren. Im Zuge einer weiteren Verschärfung unserer Sicherheitsmaßnahmen werden wir auch in den nächsten 24 Stunden die Nutzer IDs neu setzen. Hierdurch kann es zu temporären Einschränkungen für unsere Nutzer kommen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

86 Ergänzungen

  1. Markus, das was du hier betreibst hat nichts mehr mit seriöser Berichterstattung zu tun, das ist einfach nur unqualifizierte Hetze.

    1. @Chris: Du magst ja sicherlich mal Deinen qualifizierten Kommentar näher erläutern, was das mit Hetze zu tun haben soll…?

  2. Full Ack.

    @Chris: Üblicherweise ist bei solchen „Skandalen“ nach ca. 2 Wochen die Luft raus, da muss sich schon ein bissel anstrengen den Ball im Spiel zu halten.

  3. @ Chris

    Was ist daran Hetze? StudiVZ wurde hingewiesen, dass die Daten auslesbar sind. Es wird weiterhin dementiert, dass dem so ist. Die Offenlegung zeigt, dass es doch so ist und StudiVZ wird nun „gezwungen“ entsprechende Massnahmen zur Sicherung der Daten zu treffen.

  4. Sorry @Chris aber Dein Kommentar ist nicht richtig. Ob es seriöse Berichterstattung ist oder nicht, mag ich so direkt nicht zu beantworten, aber es ganz sicher keine hetze sondern interessante und teils auch wichtige Informationen. Wenn so etwas nicht publik wird, dann werden solche Sicherheitslücken auch nicht behoben.

    M2C, Gruß,
    Till

  5. @Chris: What???

    @Markus: Weiter so!
    Diese Serie zum *VZ-Problem ist das beste Argument gegen die „Blogger machen keine investigative Arbeit“-Aussagen.

  6. Hey Chris, das ist das Problem in der Gesellschaft, wir dürfen auch solche Kleinigkeiten nicht erdulden und müssen dagegen Vorgehen. Sonst wird es irgendwann zur Norm.Es ist schon gut, dass der gute Markus weiter Berichterstattung zu diesem Thema durchführt.

  7. @#1 Ich bin der gleichen Meinung wie der vzbv, dass die Menschen einfach auch mal aufgeklärt werden sollten. Vorzugsweise über Lehrer, die Eltern oder den Medien. Genauso sollten die Netzwerke wie auch der vzbv sagt einfach mal die Karten auf den Tisch legen und die Menschen hinreichend sensibilisieren, dass man mit meinen Daten in falschen Händen, ziemlich viel Schindluder betreiben kann. Und mit Hetze hat das glaub ich nicht so viel zu tun, weil wenn man jetzt einfach aufhören würde darüber zu berichten, machen sie in vier Wochen einfach so weiter wie bis her!

  8. Interessant das das jetzt erst jemand gemerkt hat. Als guter Entwickler sollte man schon beim programmieren auf dieses Problem gestoßen sein, das man über die Suche nach privaten, geheimen Daten „suchen“ kann.

    Sorry, aber dieses Problem ist mir schon während meiner Ausbildung, in der ich eine Community, oder neudeutsch Social Network, entwickelt habe, begegnet. Nundenn, wollen wir mal sehen was die Jungs von VZ-Company jetzt machen.

    Übrigens: Bin durch die Berichterstattung zum netzpolitik-Leser geworden. Also: Daumen hoch :) Und nein, es ist keine Hetze. Wer Fehler macht und dabei ertappt wird ist selbst Schuld. Und wenn die VZ-Company drauf aufmerksam gemacht wurde und trotzdem nix unternommen hat, naja..ohne Worte :)

  9. Ich finde insbesondere das „Beispiel für Geburtsdatumsabfrage“ interessant.

    Erstens wird die Sache durch solche Codebeispiele greifbar (gern mehr davon!) und zweitens zeigt der Codeschnippsel in beunruhigender Weise, wie simpel die Lücke ausnutzbar war. Man mußte nur geschickt formulierte Fragen stellen, es war nichtmal „schwarze Magie“ nötig. Das ist die eigentliche Peinlichkeit an der Sache.

  10. Durchaus interessanter Ansatz. Da merkt man mal wieder, warum ich kein guter Hacker / Cracker bin, ich würde bei fremden Codes irgendwie nicht auf solch einfachen Ideen kommen. Von Programmierseite sind mir solche Probleme auch schon aufgefallen (in etwas anderem Zusammenhang: nämlich Überkapitel gesperrt, aber Unterkapitel war noch sichtbar), aber irgendwie denkt man dann doch, dass die *VZ-Entwickler ein bisschen mehr Kenntnis bei solchen Belangen haben sollten. Wohl getäuscht *g*

  11. Bei der Geburtsdatenabfrage hätte man notfalls auch über das Feld „bdayDate/19850901“ gehen können. Hatte ich vergessen anzugeben… Ich habe versucht, die ganze Sache sehr simpel zu beschreiben.

    Die „cUrl“ Codezeilen haben wir daher erstmal weggelassen.

  12. @killergeneration: Wenn er was neues hat, immer her damit.

    Aber dass man über die Suche an die fraglichen Datensätze gelangen konnte ist ja nun hinlänglich bekannt.

    Ebenso, dass eine Reihe von Maßnahmen ergriffen wurde um das zu verhindern.

    Ob diese Massnahmen wirksam sind wird man sehen aber solange es nichts zu berichten gibt sollte man sich vielleicht wichtigerem zuwenden als ständig die Suppe von letzter Woche aufzuwärmen.

  13. Ich war zwar bei all den bisherigen Berichten zu den Problemen bei SchülerVZ eher skeptisch, dachte mir „Und??“. Dass man aber gesperrte Profilinformationen indirekt über die Suche ermitteln konnte, lese ich hier zum ersten Mal, und das halte ich schon für ein signifikantes Sicherheitsproblem. Zumal, wenn die von SchülerVZ anscheinend lange nicht einsehen wollten, dass es besteht.

  14. Leute, füttert doch nicht die VZ-Fan-Trolle..
    Nur nebenbei: Ich bin selbst Betreiber einer kleineren Community mit vergleichbarem Publikum und vergleichbaren Features, allerdings regional beschränkt. Wir (= ich und die Nutzer) haben auch überlegt, in die Suchfunktion Abfragen einzubauen, die bei expliziter Suche nach bspw. einem bestimmten Geb.-Datum die Nutzer mit dieser Eigenschaft anzeigt, sind aber zu dem Schluss gekommen, dass man sowas nur auf Opt-In-Basis machen kann. Sprich: Der Nutzer (schließt weibliche Nutzer ein) muss anhaken „Ja, ich will, dass mein Profil bei Suche nach X gefunden wird“ – für jede Einstellung. Ich find das eigentlich selbstverständlich und ziemlich arm, dass die VZ-Leute das anscheinend nicht bedacht haben.
    Gleichzeitig möchte ich aber auch sagen, dass ich es (verständlicherweise ;) ) wichtig finde, zwischen kleineren und wirklich großen Projekten zu unterscheiden. Ein 1-Mann-Projekt wie das von mir hat nicht die Ressourcen, die sich die VZ-Seiten leisten können. Dabei sind meiner Meinung nach gerade solche kleineren Projekte die wirklichen sozialen Netzwerke – weil sie klein und individuell sind. Wenn Forderungen wie die hier zu laut werden und undifferenziert auf alle deutschen Webseiten übertragen werden, gefährdet das die Kleinen und fördert damit nur die Großen.
    Außerdem: 100%ige Sicherheit gibt es nicht. Das muss klar sein. Genau so wie DRM nie ohne dass irgendwer das umgehen kann funktionieren wird, werden auch solche Seiten nie genügend gegen sämtliche Angriffe mit denkbar beliebig hohen Ressourcen und Zeitaufwand angreifbar sein. Verpflichtend kann also nicht wie hier im Artikel gefordert die Sicherheit sein, wohl aber ein ausdrücklicher Hinweis an den Nutzer, dass jedes veröffentliche Datum ein Risiko für die Privatsphäre darstellt. Nebenbei: Den Hinweis gibts bei mir seit bestehen von meinem Projekt.., in den VZten aber soweit ich weiß bis heute nicht. Ich kann das selbst nicht nachprüfen, weil ich da kein Mitglied bin. (War mal angemeldet und hab meinen Account nach 20 Minuten löschen lassen, weil ichs scheiße fand. Hab ein paar Stunden nach der Bestätigung der Löschung dann noch eine Mail bekommen, aber das ist eine andere Geschichte..)

  15. @markus: Der „Chris“ ist sicher ein Mitarbeiter von VZnet, daher muss man sich über seine Kommentare nicht wundern oder gar ärgern. :O)

    Wenn ein Websitebetreiber erst durch Veröffentlichung beweisbarer Fakten dazu gezwungen werden kann, seine User über Sicherheitslücken zu informieren und dazu, diese zu schließen, so ist der Gang in die Öffentlichkeit vollkommen legitim und hat nichts mit „unqualifizierte Hetze“ zutun.

  16. Ach ja, mal so als Nachtrag: Ich wette, es gibt schon heute einige Datenbanken mit (auch mittlerweile gelöschten) Inhalten aus den VZten, Stichwort Bewerbermanagement.

    1. @Thomas. Wir haben letzte Woche schon darüber berichtet und nun den Beweis nachgeschoben. Die von Dir zitierte Stelle klingt etwas wirr, bzw. gibt nicht her, dass die Geschichte schon richtig bekannt war.

  17. warum nimmt man sich als Autor eigentlich nicht 1 Minute Zeit, um vor der Veröffentlichung eines solchen Artikels kurz zu checken, ob die beanstandete Lücke noch vorhanden ist? Dann würde man sehen, dass sie nicht mehr existiert… aber es gibt ja auch keine journalistische Sorgfaltspflicht. Trotzdem peinlich, wenn durch die eigene Schludrigkeit nun eine neue Lawine von Veröffentlichungen entsteht (auch im Fernsehen), die das ganze ohne die leicht übersehbaren \Updates\ am Textende weiterverbreiten… Wird der Autor von Facebook bezahlt?

    1. @Konrad: danke für die Vorwürfe. Wir haben selbstverständlich vorher gecheckt, ob das noch möglich ist. Und dazu geschrieben, dass die neueren Massnahmen dies nun verhindern.

      Und journalistische Sorgfaltspflicht nehmen wir Ernst und setzen das auch um.

      Wie schon geschrieben, geht es uns mit diesem Beitrag darum zu beweisen, dass private Daten auch auslesbar waren. Dies haben wir, meiner Meinung nach, gut bewiesen.

      Und nein, wir werden nicht von Facebook bezahlt.

  18. oh man das ist doch keine Sicherheitslücke.
    wer 1 und 1 zusammenzählen kann, der weiß und tut dies schon solange es diese plattformen gibt.

    von daher, es gibt auch „seriöse“ Netzwerke wo man außer einer email (nach der man nicht suchen kann) und einem Pseudonym nichts angeben muss.

    im gleichen Zug gibt es aber auch Netzwerke die einfach alles öffentlich machen. das ich dort die Adressen und Geburtsdaten von zig tausenden Usern direkt über Google abfragen kann, scheint niemanden zu interessieren.

    und noch mal zur Def: eine Sicherheitslücke besteht wenn eine technische Hürde durch das Ausnutzen eines Fehlers überwunden werden kann. Eine suche die Nach Alter und Sternzeichen such kann, ist nicht so ein Fehler.

    Ein fehler wäre es wenn ich die suche z.b. nach etwas suchen lasse, das sie eigentlich nicht suchen kann ……

    viel Spaß und keine Angst alle die die an eure Daten wollen (Kreditkarten, Telefonummern, Adressen …) haben sie eh schon…..

  19. Schritt 1:
    #Studivz Rate Limit 4mb pro User (letzte Woche)
    #Traffic beim blättern durch die User einer Gruppe ca. 2kb (ohne laden er Bilder)

    =>2000 Seiten a 12 Leute a 1 Sekunde
    =>24.000 Leute in 33 Minuten

    #Name, Link zum Profil, Link zu großem Bild

    Schritt 2:
    #upload zu einem Imagehoster via url z.B. photobucket

    =>4 Fake User
    =>3 Tage
    =>Alle Bilder mit Name und Link aus „Fahr doch da vorne du Spast“ Spassenshalber zu Photobucket gesendet ohne traffic…dank vzlern

    läuft ja
    http://img-a1.pe.imagevz.net/profile1/28/57/833692ff81df75707db86cd5bef7/1-02e4a94335eac2ac.jpg

  20. „Wir haben also nach dem Zufallsprinzip Nutzer-IDs aufgerufen“

    Es ist eine peinliche Leistung, sich über den Datenschutz im SchülerVZ aufzuregen, aber nicht einmal die Nutzungsbedingungen zu beachten, die u.a. klar besagen, dass Nichtschüler dort nichts verloren haben…

    Meinjanur.

  21. Ok also die ganze Medienöffentlichkeit dreht sich nun darum, dass man mit krimineller Energie die gegen die AGB verstößt das Geburtsdatum auslesen kann.
    Das ist ja ein dickes Ding.

  22. Regt euch mal ab – Das was der Markus hier macht, hat schon Hand und Fuß. Nur weil die Lücke mittlerweile geschlossen worden ist, heißt das nicht, dass man nicht darauf aufmerksam machen darf, dass dies heimlich und still von VZ erledigt worden ist, ohne die User darauf aufmerksam zu machen.

  23. Ich bin schon sehr gespannt, welchen Datensatz man morgen findet, vielleicht einen von 2007, dass hätte in etwa so viel Nachrichtenwert wie die Meldung über einen Bug der nicht mehr existiert.
    Aber hey, auch sowas bringt Page-Impressions.

    Warum man 118.000 Datensätze oder gar 1.000.000 Datensätze auslesen muss um eine „Sicherheitslücke“ nachzuweisen, will mir nicht ganz einleuchten. Das klingt für mich eher nach krimineller Energie und zuviel Freizeit als nach dem Bedürfnis andere über eventuelle „Gefahren“ aufzuklären, aber vielleicht kenne ich ja einfach irgendeinen „alterwürdigen „Hackerkodex“ nicht, der das rechtfertigt. Jeglicher Altruismus dürfte aber wohl dann abzusprechen sein, wenn man noch das dringende Bedürfis verspürt seine doch eher fragwürdigen Aktionen zu veröffentlicht oder auch mal zu Erpressung greift.

    VZ hat euch nicht alle über jedes jemals aufgetretene technisch Problem informiert? Buhu!

  24. Das Grundproblem, wieso ich diese ganzen Berichte nicht ernst nehmen kann ist doch, dass es bei SchuelerVZ überhaupt keine sensiblen Daten gibt die im Profil abgefragt werden.
    Das wäre für mich so etwas wie die Adresse oder Kontonummer.
    Und gerade darum werden sich die Schüler auch nicht abmelden.
    Ob es nun ein paar Attention oder Geldgeile Programmierer schaffen Crawler auf die Seiten loszulassen, dieses Katze-Maus Spiel ist für mich uninteressant/betrifft alle Social-Networks.
    Was ich aber wirklich lustig finde ist, dass hier primär immer von Datenleck gesprochen wird als wenn die Daten ohne kriminelle Energie auslaufen. Tun sie aber nicht. Nur das jene gefeiert werden die gegen Strafrecht oder zumindest AGB verstoßen und der Angegriffene (SchuelerVZ) den schwarzen Peter zugeschoben bekommt.
    Wieso netzpolitik/spiegel usw.das so machen?
    Weil es die Klickraten hochtreibt, weil schuelervz sexy ist, schon alleine von der Teilnehmerzahl.
    Das ist alles so leicht zu durchschauen.
    Wird sich aber natürlich auch nicht ändern.

  25. @Andreas: Ist dein Post ernst gemeint??

    „Was ich aber wirklich lustig finde ist, dass hier primär immer von Datenleck gesprochen wird als wenn die Daten ohne kriminelle Energie auslaufen. Tun sie aber nicht. Nur das jene gefeiert werden die gegen Strafrecht oder zumindest AGB verstoßen und der Angegriffene (SchuelerVZ) den schwarzen Peter zugeschoben bekommt.“

    Mir ists lieber wenn ein White-Hat die Lücke findet, nicht ausnutzt und meldet, als wenn irgendso’n Scriptkiddie auf die Idee kommt die Lücke auszunutzen. Wenn die Entwickler von VZ es nicht gebacken bekommen sichere Software zu schreiben, dann kann man doch eigentlich nur dankbar sein, dass es Leute gibt, die die Lücken aufdecken.

  26. @Marvin: Das grundsätzliche Problem gab – wie Markus erwähnt hat – bereits 2006 schon einmal. Im konkreten Fall wurde (*hüstel*) mein Ansatz von damals weitergedacht und ausgenutzt, um im großen Stil private Daten zu ziehen bzw. zu validieren (Mir ging’s damals nur um den „proof of concept“).

    Gerade mal im Backup gewühlt, hier die Screenshots von damals:

    Eingerichtet hatte ich einen angehenden Priesteramtskandidaten mit promiskuitiven Neigungen ;) Solls geben, ist der Karriere aber nur bedingt förderlich. Zumindest, wenn es rauskommt. Zum Beispiel, weil man sich auf die „Sicherheitseinstellung“ von StudiVZ bzw. heute VZnet verlässt.

    @Andreas: Wenn du detaillierte Datensätze von Minderjährigen inkl. Geburtsdatum, Freundeskreis, Vorlieben uvm nicht für „sensible Daten“ hälst, durchschaust du eher wenig. Keine Ahnung, ob sich das ändert, oder evtl. Teil deiner Qualifikation ist.

    @21/Thomas: Mir scheint eher, dass da etwas nicht verstanden wurde ,)

    @32/xy:

    Sicherheitslücke besteht wenn eine technische Hürde durch das Ausnutzen eines Fehlers überwunden werden kann

    Nein, die technische Hürde ist optional.

  27. @fukurokuyu:

    Mir ists lieber wenn ein White-Hat die Lücke findet, nicht ausnutzt und meldet, als wenn irgendso’n Scriptkiddie auf die Idee kommt die Lücke auszunutzen.

    Genau. Ich befürchte allerdings, dass es ohnehin wie bei Hase und Igel ist. Ich gehe davon aus, dass diese und ähnliche Lücken bereits ausgenutzt wurden, tlw. auch kommerziell (Vgl. entsprechende Jobangebote auf einschlägigen Plattformen).

    Daher ist es auch leider keine Lösung, sie – nach Benachrichtung der Verantwortlichen, um ggf. Gegenmaßnahmen zu treffen – nicht zu veröffentlichen oder die Nebelkerzen des VZnet-Managements unkommentiert zu lassen.

  28. > Dann kann dieses Foto jeder sehen. Ich weiß nicht ob es eine Technische Möglichkeit gibt dies zu Unterbinden, gehe aber davon aus das es möglich sein sollte.

    An Fabrice: Ja, sowas ist technisch gesehen ohne weiteres möglich und zwar mittels PHP. Einfach ein Skript bauen, das eine Bild-ID empfängt und anschließend das entsprechende Bild ausgibt. (Den Content-Type mit header() auf image/jpg setzen, das Bild beispielsweise mit file_get_contents() holen).
    Das Problem wäre aber, dass hier relativ viel Traffic entstehen würde, da der Server immer vorher das Bild noch temporär runterladen muss, bevor es der Klient empfängt. Aber ich bin mir sicher, auch dem kann man entgegenwirken und auch hier gibt es Mittel und auch hier gibt es noch eine andere, gute, realisierbare und unproblematischere Lösung.

    Was das mit den Geburtstagen angeht, so ist das doch genau das, worüber wir auch berichtet haben. Nur haben wir in der Super-Suche eben nicht alles ausgenutzt, sondern nur bestimmte Felder, aber klar, mit entsprechender Zeit und ein wenig mehr Aufwand hätte man alles auslesen können, was mit der Super-Suche findbar ist, völlig ohne Captchas. Das ist genau das, was wir immer wieder erwähnt haben.

    Allerdings sollte dieses Problem mittlerweile behoben sein, also ist der Inhalt dieses Artikels einigermaßen veraltet. Doch in etwa so, wie es hier beschrieben ist, sind wir vorgegangen, nur mit anderen Suchfeldern.

  29. Es ist doch nicht so, dass von solchen Lecks nur VZ-Netzwerke betroffen sind. Ich hab mir einfach mal das Netzwerk Jappy.de gegriffen, dass von vielen jungen Usern besucht wird. Dort hab ich auch sofort den Wohnort bekommen – auch wenn dieser von den usern ausgeblendet wurde:
    http://parkrocker.com/alles-schaut-auf-vz-keiner-auf-den-rest/
    Das ist zwar jetzt nur ein kleines Beispiel, aber ich möchte nicht wissen, wieviele Netzwerke sowas noch aufweißen und keiner schert sich drum… ;)

  30. Ihr bei Netzpolitik habt also vertrauliche Daten zugespielt bekommen und verbreitet die jetzt auch noch weiter, indem ihr sie an die Verbraucherzentrale weiterleitet. Sehe ich das richtig? Was haben die Daten bitteschön bei der Verbraucherzentrale zu suchen? Ich finde es fahrlässig und höchst gefährlich, wie hier vertrauliche Daten für eine an sich gute Sache die Runde machen.

    1. @Michael: Die Verbraucherzentrale Bundesverband ist eine öffentliche Einrichtung, die von unseren Steuergeldern finanziert wird und ebenso wie die Datenschutzbeauftragten für den Schutz von Verbrauchern zuständig. Für mich sind sie vertrauenswürdig und neben dem Landesdatenschutzbeauftragten der natürliche Ansprechpartner in solchen Fragen. Und da klar war, dass die Daten dann automatisch an den Landesdatenschutzbeauftragten weitergeleitet werden müssen, haben wir diesen einfachen Weg gewählt.

      Das kann man „fahrlässig und höchst gefährlich“ nennen, man muss es aber nicht, wenn man sich nicht lächerlich machen will.

  31. @Michael
    Interessanter Aspekt, den Du da aufgreifst.
    Hat schon jemand das Verhalten von Netzpolitik an den zuständigen Datenschutzbeauftragten bzw. die Staatsanwaltschaft angezeigt? ^^

    1. @Parkrocker: Nur zu. Das ist eine wichtige Frage, die unbedingt ein Staatsanwalt klären sollte. Sicherheitshalber solltest Du vorher beim Landesdatenschutzbeauftragten anrufen und nachfragen, wie der das denn fand. Da reicht ein Anruf.

  32. @Jörg: Wir beide „kennen“ uns ja schon von den ersten Lücken (falls du dich erinnern kannst ;) ). Ich hatte – als die ganze Sicherheitsproblematik in deinem Blog besprochen wurde – die Hoffnung, dass das System seine Krankheiten besiegt, VZ sich vernünftige Programmierer holt und das System irgendwann keimfrei ist. Wie man sieht ist das bis zum heutigen Tag nicht der Fall. Ich hätte da übrigens noch ’ne interessante Info für dich. Wenn du interessiert bist, sag mir doch bitte mal wie ich dich „privat“ kontaktieren kann…

  33. Der Verbraucherzentrale Bundesverband ist nach meinem Wissensstand keine öffentliche Einrichtung, sondern ein Verein. Zu den Mitgliedern gehören nicht nur die Verbraucherzentralen, sondern auch weitere Akteure/Vereine/Verbände.

    Im übrigen ist das Innenministerium auch eine öffentliche Einrichtung und wird durch Steuergelder finanziert.

    Ich finde die Arbeit der Verbraucherzentralen vorbildlich und die Thematik SchülerVZ auch wichtig. Trotzdem finde ich die Weitergabe von einhunderttausend vertraulichen Datensätzen leichtfertig und sie konterkariert auch eure eigentlichen Bestrebungen. Ich habe das Gefühl, es geht euch fast mehr um das „Datenleck“ bei SchülerVZ als um die Daten, die eigentlich geschützt werden sollen. Anders kann ich mir diese überflüssige Aktion nicht erklären.

    PS: Wenn ich intime Daten/ Bilder bei VZ gespeichert hätte, dann hätten die nur bei solchen Leuten etwas zu suchen, denen ich dazu Zugriff gewähre. Dazu gehören nicht die Verbraucherzentralen und auch nicht der Datenschutzbeauftragte.

  34. Das ist genau der Punkt der pervers anmutet. Hier werden unzählige Datensätze einer Einrichtung gegeben, die unter anderem durch den Bund finanziert wird. Ist der sonst in diesem Blog nicht immer der Böse der ja keinen Einblick in Daten bekommen soll?
    Netzpolitik sollte doch mittlerweile genug Gewicht haben, dass auch ohne Vorlage der Datensätze Gehör gefunden wird bei den entsprechenden Institutionen.
    Wenn überhaupt, hätte man die Daten treuhändisch bei einem Anwalt hinterlegen können – aber bitte nicht bei Mitarbeitern einer Verbraucherzentrale die nicht mehr an Datenschutz gebunden sind als jeder andere Bürger auch und sonstwas mit den Daten anstellen können.

  35. Ich verstehe nicht warum jetzt darüber debattiert wird, wie netzpolik.org sich hätte verhalten müssen!? Fakt ist doch: Der Fehler liegt schon weit vorher bei VZ. Es müssen Mittel und Wege gefunden werden, die sicherstellen, dass diese Community endlich vernünftig mit Ihrer Verantwortung umgeht.

  36. Aber eben auch nicht nur diese eine Community. Es ist doch nicht nur im VZ-Netzwerk so, dass Daten ungehindert abfließen können.
    Im Prinzip fehlt einfach eine externe Kontrolle, die solche Plattformen auf Herz und Nieren auseinander nimmt.

  37. @Parkrocker: Korrekt! 100% ACK! Dann hört doch auf, darüber zu diskutieren ob es richtig oder falsch ist, was dieser Blog hier gemacht hat.

    Fakt ist, VZ nimmt hier seine Aufgabe nicht ernst. Wie es bei anderen Communities aussieht, dazu kann ich mich nicht wirklich äußern. Die sind sicher auch nicht 100% sicher. Was VZ sich allerdings seit StartUP erlaubt, ist einfach nur eine Frechheit. Sogar jetzt enthält die Seite noch Lücken…

  38. Der Zweck heiligt die Mittel? Datenschutz ist Datenschutz. Und er bleibt auch Datenschutz, wenn die Daten in die Hände von Netzpolitik gelangen.

    Und ich lasse mich hier nicht ins Lächerliche ziehen, wie es marcus versucht. Wer nicht nachvollziehen kann, dass die Weitergabe vertraulicher Daten anderer Menschen an eine Verbraucherzentrale einen massiven Eingriff in die Privatsphäre von Menschen bedeutet, der hat nichts verstanden. Und disqualifiziert sich in meinen Augen auch für die eigentlich gute Arbeit, die hier geleistet wird.

  39. Ihr habt dann also einen besseren Vorschlag? Jetzt fangt nicht wieder mit der „Anwalt-Story“ an. Wenn der nen schlechten Tag hat, gibt der die Daten auch weiter… Ob er sich jetzt strafbar macht oder nicht.

  40. Ach, übrigens. Jetzt ist ja öfters die Rede, dass immer noch ein Datenleck existiere, und man über die Suchfunktion private, nicht-einsehbare Daten auslesen kann.

    Das WAR mal der Fall. Ist es aber ausdrücklich nicht mehr, und das schon länger. Ursprünglich wollten wir das auch in unser Gutachten reinschreiben, aber da wir alle unsere Beobachtungen nochmals gründlich geprüft haben, mussten wir feststellen, dass dies glücklichweise behoben wurde. In etwa zu der Zeit, in der damals das SchülerVZ mit den ganzen Datenschutzversprechen kam, anscheinend ist das dort aufgefallen oder zufällig behoben woden.
    Zuvor war es möglich, quasi wie mit einem „Bruteforce“-Verfahren auch vertrauliche Daten durch Suchen herauszufinden. Aber ich wiederhole, das ist schon länger nicht mehr der Fall, obwohl das jetzt heise zu berichten scheint (hab den Artikel nur überflogen).

  41. @fukurokuyu: Ich erinnere mich. Dunkel zumindest. Der Nick ein wenig anderes, oder?

    Tja, und die Hoffnung hatte ich nach dem Rewrite eigentlich auch. Um so verwunderter war ich, als Markus mir letztens die neuen (alten) Lücken präsentierte, die man ihm zugespielt hatte.

    Wie auch immer, du kannst auch an Markus/Netzpolitik schreiben (das landet irgendwann auch bei mir ,).

    Direkt geht natürlich auch. Adresse und PGP-Key siehe http://fx3.org/olaf/pgp.php

    @Parkrocker/51: Natürlich gibt es solche Lücken auch woanders (Dazu morgen mehr …). VZnet ist allerdings in einer besonderen Verantwortung, da es sich um die Daten von Minderjährigen und Jugendlichen handelt.

    Und nein, der Bund ist nicht pauschal böse. Und ja, nicht nur Markus hält die Spezialisten des Verbraucherzentrale Bundesverbands für vertrauenswürdig, ich tue es auch. So ein Dienstweg kann auch mal überraschend kurz sein.

  42. Ich verstehe die Aufregung nicht.

    Social Networks wie StudiVZ und SchülerVZ sind Datenexibitionismus-Implementierungen.

    Es ist keine Datenprostitution, weil man ja nicht einmal etwas dafür bekommt, dass man sein Leben und seine Kontaktenetzwerke offenlegt.

    Man lässt sich ganz kostenlos f*cken, und drängt die eigenen Daten der Welt auf.

    Was daran ist jetzt schlimm, dass nicht mehr nur der Betreiber von SchülerVZ Profile verkaufen kann, sondern auch Dritte? Ich meine, ausser für das Geschäftsmodell von SchülerVZ natürlich?

    Wie kann es in einem Anti-Datenschutz-System denn bitte ein Datenschutzproblem geben?

    Viele Grüsse,
    VB.

  43. Ich wunder mich vor allem immer mal wieder darüber, dass viele Nutzer zu glauben scheinen, dass man, wenn sie ihr Profil verbergen, nicht erkennen kann in welchen Gruppen Sie sind.

    Es gibt unmengen von Gruppen in denen Leute drin sind, weil sie es lustig finden, die sie aber nun wirklich nicht öffentlich auf dem Profil haben wollen. Die verbergen dann den Teil der die Gruppen anzeigt grundsätzlich.

    Blöd nur dass sie in den Gruppen in der Liste der Mitglieder auftauchen. Wenn man also andersrum sucht, zuerst die evtl. peinliche Gruppe und dort nach den Mitgliedern schaut, sieht man die Mitgliedschaft.
    Das ist natürlich nicht so praktisch, wenn man wissen will in welchen peinlichen Gruppen Person x ist, aber ich sehe keinen Grund warum man nicht massenweise Gruppe crawlen und sich für jeden Benutzer eine eigene Gruppenauflistung machen können sollte.

  44. @Jörg-Olaf Schäfers: Es geht nicht nur darum, ob die Verbraucherzentrale „vertrauenswürdig“ ist. Datenschutz ist mehr als das Verhindern von Kreditkartenbetrug und Adressenhandel. Hier geht es um die Privatsphäre von Hunderttausend Menschen. Und die wurde verletzt, indem vertrauliche Daten von Menschen ohne deren Zustimmung weitergegeben wurden.

    Ich finde es schade, dass das Recht auf Informationelle Selbstbestimmung hier so runtergespielt wird. Wenn selbst Experten auf dem Gebiet dieses Recht relativieren, weiß ich auch nicht mehr weiter.

  45. „Die Ausübung eines Gewerbes ist von der zuständigen Behörde ganz oder teilweise zu untersagen, wenn Tatsachen vorliegen, welche die Unzuverlässigkeit des Gewerbetreibenden oder einer mit der Leitung des Gewerbebetriebes beauftragten Person in bezug auf dieses Gewerbe dartun, sofern die Untersagung zum Schutze der Allgemeinheit oder der im Betrieb Beschäftigten erforderlich ist.“

    (§35 GewO)

    Die systematische nachlässige Verwaltung von Kundendaten stellt möglicherweise nicht nur die Verletzung einer vertraglichen Nebenpflicht dar, sondern eben auch den Tatbestand der Unzuverlässigkeit.

    Man muß es nur einfach mal tun. Dafür braucht’s auch keine Gesetzesänderung.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.